avira antivir bei jedem neustart deaktiv (+ virusmeldung)

Du warst hier ja schon öfters,oder?
Daten sichern mit beliebiger linux live cd und system komplet neu instalieren.Alles andere ist murks.
Oder was wolltest du nun lesen?

lade dir hijackthis runter und poste ihr deinen log.

Generell ...
sollte man seine Daten nach Befall sichern ,und den PC neu aufsetzen (Formatieren & Install) .....
------------------------------------------------------------------------------------------------------------

zuerst : Browsercache & Cookies löschen

Plattenbereinigung machen zum löschen aller temporären Dateien
Zubehör .....oder :
Arbplatz , Rechtsklick auf die Platte , Eigenschaften ,Bereinigen

dann :
HijackThis , im Normalmodus !
http://www.hijackthis.de/     <<< Download & Auswertung
http://members.linzag.net/680262/HJT/HijackThis.html    <<<Beispiel
Log oder Zusammenfassung  ggf hier posten.

-------------------------------------------------------------------------------------------------------------

Virenscan    (unbedingt immer im abgesicherten Modus machen)  !
Denn im Normalmodus sind etliche Dateien gesperrt .

Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
-------------
Viren-Vollscan machen imabges. Modus mit  MalwareBytes  ,
vor Scan >> im Normalmodus Update anklicken ...  !

http://www.zdnet.de/adware_entfernen_unter_windows_malwarebytes__anti_malware_download-39002345-88313-1.htm

http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

http://www.hijackthis-forum.de/showthread.php?p=174914

-------------
Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung   AUS
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AN-haken : <<< Vorsicht , damit sind ALLE Punkte weg !!

Fertig damit :
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AB-haken
Danach ggf Wiederherstellungs-Punkt setzen .
 z.B. Start , Hilfe & Supp. , System-WDH , neuen Punkt setzen

-------------------------------------------------------------------------------------------------------------

Wenn alles nicht hilft :
mit Knoppix-CD
http://www.computerhilfen.de/info/video-anleitung-daten-retten-mit-knoppix-2.html

oder
BartPe-LiveCD
http://www.wintotal.de/Artikel/pebuilder/pebuilder.php

http://www.nu2german.de/pebuilder319.shtml

http://www.pebuilder.de/

http://www.pcwelt.de/downloads/108595/

oder
http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html
starten , Daten sichern und das System dann neu installieren .

-------------------------------------------------------------------------------------------------------------

Der Virendoktor
http://www.heise.de/security/artikel/80369

------------------------------------------------------------------------------------------------------------- 

1. das der regenschirm geschlossen ist / guard deaktiviert ist hab ich in anderen beiträgen gelesen ein bekanntes bug oder ähnliches des programmes (hat nix mit  virus zu tun da auch schon länger).

2. die datei die antivir immer anmeckert ist definitiv NICHT DA - d.h. nicht im system32 ordner vorhanden zum zeitpunkt des alarms. scheint mir also eher eine art fehlverhalten vom av da auch sonst nichts auffälliges passiert im system.
deswegen ist es doch verständlich nicht gleich neu aufzusetzen. btw hatte ich natürlich schon mit mbam und weiteren av scannern (u.a. online scanner) gescannt.
und nochmal zu diesbezüglicher antwort das system neu aufzusetzten : wenn man bei virusmeldung eh nur neu aufsetzten kann / könnte warum gibt es dann sowas wie virenforen im internet wenn eh jede hilfe zu spät ist?
wenn man so antwortet ist man meiner meinung nach im falschen forum.


habe jetzt mal escan als ZUSÄTZLICHES av programm installiert. im gegensatz zu avira erscheint mir dieses systemlastiger (viel mehr prozesse).
meine zusätzliche frage: da ja eh nur TEST VERSION kann ich beide av programme aktiv laufen haben? bzw gibt das probleme? normalerweise wird ja von sowas abgeraten aber vielleicht vertragen sich diese beiden?

hier nochn paar logs


Logfile of HiJackThis v1.99.1
Scan saved at 16:36:34, on 04.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\tools\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\tools\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {34EC9266-1CDC-42D8-9A86-E47931A0BD8E} - (no file)
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\tools\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\tools\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5464/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B38F9B3-9F18-4B8F-B9F8-72B0FEB99F16}: NameServer = 192.168.0.1
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe





01/04/09 16:30:28 [Info]: BlackLight Engine 2.2.1092 initialized
01/04/09 16:30:28 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/04/09 16:30:28 [Note]: 7019 4
01/04/09 16:30:28 [Note]: 7005 0
01/04/09 16:30:36 [Note]: 7006 0
01/04/09 16:30:37 [Note]: 7011 372
01/04/09 16:30:37 [Note]: 7035 0
01/04/09 16:30:37 [Note]: 7026 0
01/04/09 16:30:37 [Note]: 7026 0
01/04/09 16:30:38 [Note]: FSRAW library version 1.7.1024
01/04/09 16:32:01 [Note]: 7007 0

combofix
2008-04-14 02:22:58   153,600    C:\Qoobox\Quarantine\C\WINDOWS\REGEDIT.COM.vir
2008-04-14 02:23:02   140,800    C:\Qoobox\Quarantine\C\WINDOWS\system32\TASKMGR.COM.vir
2009-01-03 22:59:11   6,575,752  C:\Qoobox\Quarantine\C\Setup.exe.vir
2009-01-05 17:44:24   2          C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2009-01-05 17:44:24   2          C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2009-01-05 17:44:24   2          C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat
2009-01-05 17:44:26   0          C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{34EC9266-1CDC-42D8-9A86-E47931A0BD8E}.reg.dat
2009-01-05 17:44:26   124        C:\Qoobox\Quarantine\Registry_backups\Toolbar-{34EC9266-1CDC-42D8-9A86-E47931A0BD8E}.reg.dat
2009-01-05 17:44:36   478        C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-SVCHOST.reg.dat

Wer gerne russisch roulete spielt,mag das machen.
Im vorliegenden fall war aber ein trojaner am werke.
Was dieser veränderte,wies keiner.Die leute,die meinen,man kann infizierte systeme reinigen,sollte man den zugang zu computern verbieten.
Offensichlich ist man sich hier nicht im klaren,welcvhe risiken man eingeht,wenn man einen rechner "reinigt",anstatt neu zu instalieren.Ein saubres image wäre hierbei immer nützlich.
Die leute hier im forum wissen sehr wohl,was sie empfehlen.Leider sind auch immer einige voodoo priester dabei,deren unbrauchbare pogramme einen rechner angeblich reinigen.
Due weist sicherlich,was eine dll datei ist,oder? wenn nein,denke darüber mal gründlich nach.Das ergbnis deines nachdenkens bitte hier in eigenen worten formulieren,ich bin auf das ergebnis sehr gespannt.

nach einigem nachdenken bin ich nun doch letzendlich zum schluss gekokmmen :

Der Zweck von DLL-Dateien ist, den von einer Anwendung auf der Festplatte und im Hauptspeicher benötigten Speicherplatz zu reduzieren. Jeglicher Programmcode, der von mehr als einer Anwendung benötigt werden könnte, wird deshalb in einer einzelnen Datei auf der Festplatte gespeichert und nur einmal in den Hauptspeicher geladen, wenn mehrere Programme dieselbe Programmbibliothek benötigen.

 

Das Dll dateien zur laufzeit verändert werden,scheint unbekannt zu sein,oder?Schadpogramme können hier ihren pogrammcode ablegen und dieser wurd dann bei aufruf der datei ausgeführt.Ein reinigen von diesem fremden code geht nicht und wirde derzeit auch von keinem am marktbefindlichen pogramm beherscht.deswegen sollte man neuinstalieren.Die leute,die sagen bzw schreiben,befallene systeme kann man reinigen,vegessen diese tatsache nur zu gerne.
Solche leute sollten dann auch die schäden bezahlen,die Ihre reinigung verursacht,was sie aus verständlichem grunde ablehenen.Sie wären sonst sehr schnell besonders arm.Im geschäftlichem umfeld würde man solche leute direkt in regress nehmen.
Es genügt schon,eine dll datei zu übersehen bzw sie ist sehr gut versteckt,schon hat man wieder gäste.
Deswegen wird von allen leuten,die ernsthaft mit Rechnern arbeiten,ein befallenes system isoliert bzw aus dem netzwerk genommen und  komplet neu instaliert bzw ein sauberes image eingespielt.
Persönlich wäre mir meine zeit zu schade,nach den gästen zu suchen,in der zeit habe ich mein image schon eingespielt.

kannste nurnoch formatierenund install machen.